作者: | Matt Hand |
语言: | 英文 |
出版年份: | 2023 |
下载链接: |
书籍均收集自互联网,仅供学习和研究使用,请莫用于商业用途。谢谢合作。 |
《Evading EDR》是由Matt Hand撰写的一本专注于绕过端点检测与响应(EDR)系统的技术书籍。本书深入剖析了EDR的工作原理、检测机制以及攻击者如何通过各种技术手段绕过其检测,是网络安全领域的专业人士、红队成员以及对EDR技术感兴趣的读者的必读之作。
Matt Hand是一位资深的攻击性安全专家,长期专注于漏洞研究、规避技术和对抗模拟。他的职业生涯始于一家小型托管公司的安全运营中心,此后一直作为红队操作员,针对全球大型组织开展攻击模拟。Matt对规避技术和安全研究充满热情,本书凝聚了他在该领域的深厚专业知识。
本书共分为13章,每章聚焦于EDR的一个特定组件或检测机制,并探讨了相应的绕过技术。以下是各章节的简要介绍:
介绍了EDR代理的设计、组件及其通用功能,包括传感器、检测逻辑和数据收集机制。同时,讨论了EDR在安全组织中的广泛应用以及攻击者面临的挑战。
探讨了EDR如何通过挂钩用户模式函数调用来监控系统行为,以及攻击者如何通过直接系统调用、重新映射DLL等方式绕过这些挂钩。
分析了EDR如何通过内核模式驱动程序监控进程和线程的创建事件,以及攻击者如何通过修改进程参数、利用父进程ID欺骗等手段绕过检测。
讨论了EDR如何通过对象管理器的回调机制监控对系统对象(如进程、线程、桌面等)的访问请求,以及攻击者如何通过句柄劫持、权限提升等手段绕过这些检测。
介绍了EDR如何监控文件加载、注册表操作等事件,并通过KAPC注入技术将函数挂钩DLL注入到新进程中。同时,探讨了攻击者如何通过隧道技术、代理工具等方式绕过这些检测。
详细介绍了文件系统微型过滤器驱动程序的工作原理及其在EDR中的应用,包括如何监控文件操作、与扫描引擎集成等。此外,还探讨了攻击者如何通过卸载过滤器、注册恶意过滤器等手段绕过检测。
探讨了EDR如何利用Windows过滤平台(WFP)监控网络流量,以及攻击者如何通过分析网络过滤规则、利用配置漏洞等手段绕过网络检测。
深入分析了ETW技术及其在EDR中的应用,包括如何收集系统事件、监控进程行为等。同时,讨论了攻击者如何通过禁用ETW提供程序、修改事件过滤规则等手段绕过ETW检测。
介绍了EDR中扫描器组件的工作原理,包括如何评估文件和内存内容、检测恶意软件等。此外,还探讨了攻击者如何通过代码混淆、加密等手段绕过扫描器检测。
讨论了Microsoft引入的反恶意软件扫描接口(AMSI)及其在检测脚本和文件无文件恶意软件中的作用,以及攻击者如何通过字符串混淆、内存执行等手段绕过AMSI检测。
介绍了早期启动反恶意软件(ELAM)驱动程序的工作原理及其在保护系统启动过程中的作用,以及攻击者如何通过修改驱动程序签名、利用漏洞等手段绕过ELAM检测。
探讨了Microsoft-Windows-Threat-Intelligence ETW提供程序及其在EDR中的应用,包括如何提供内核级别的检测数据、监控系统行为等。同时,讨论了攻击者如何通过绕过ETW提供程序、利用保护进程等手段绕过检测。
通过一个虚构的攻击场景,展示了如何将前几章的知识应用于实际攻击中,包括如何评估检测风险、选择攻击路径、绕过EDR检测等。
本书适合以下读者:
《Evading EDR》是一本全面、深入且实用的网络安全技术书籍。它不仅详细介绍了EDR的工作原理和检测机制,还提供了丰富的绕过技术实例,帮助读者更好地理解和应对EDR系统。无论是攻击者还是防御者,都能从本书中获得宝贵的知识和启发。本书是网络安全领域不可多得的专业读物,值得每一位安全从业者深入研读。